JavaScript開発で広く使われているパッケージ管理サービスのnpmに、公開前の確認手順を追加する「段階的リリース」が導入されました。従来のnpmでは、公開権限を持つユーザーや自動化システムがパッケージを公開するとパッケージがnpmレジストリにす ...

Reported over three years ago and allegedly still not properly fixed, the vulnerability enables attacks to execute JavaScript ...

OpenAI confirmed on Wednesday that it found no evidence suggesting user data was compromised following a security incident ...

TeamPCP’s Mini Shai-Hulud campaign used hijacked GitHub OIDC tokens to spread a credential-stealing worm through TanStack npm ...

JavaScriptやReact周辺の開発で広く使われているライブラリ群「TanStack」のnpmパッケージに、攻撃者がマルウェア入りのバージョンを公開するサプライチェーン攻撃が行われました。TanStack公式の事後報告によると、攻撃者は2026 ...

In March 2026, someone hijacked a maintainer account for Axios, a JavaScript HTTP library downloaded more than 45 million ...

オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードが仕込まれたサプライチェーン攻撃。発端となったソーシャルエンジニアリングの手口が明らかになったことで、標的はAxiosにとどまらず、オープンソースエコシステムを狙った攻撃が他にも多発している実態が浮かび上がった。

Google's latest threat report warns that third-party tools are now prime targets for attackers - and businesses have only ...